Обзор Credential Guard
Credential Guard предотвращает атаки на кражу учетных данных, защищая хэши паролей NTLM, билеты на предоставление билетов Kerberos (TGT) и учетные данные, хранящиеся приложениями в качестве учетных данных домена.
Credential Guard использует безопасность на основе виртуализации (VBS) для изоляции секретов, чтобы доступ к ним могли получить только привилегированные системные программы. Несанкционированный доступ к этим секретам может привести к атакам кражи учетных данных, таким как передача хэша и передача билета.
Если этот параметр включен, Credential Guard предоставляет следующие преимущества:
- Аппаратная безопасность: NTLM, Kerberos и Credential Manager используют преимущества функций безопасности платформы, включая безопасную загрузку и виртуализацию, для защиты учетных данных.
- Безопасность на основе виртуализации: ntlm, производные учетные данные Kerberos и другие секреты выполняются в защищенной среде, изолированной от работающей операционной системы.
- Защита от сложных постоянных угроз: при защите учетных данных с помощью VBS методы и средства атаки на кражу учетных данных, используемые во многих целевых атаках, блокируются. Вредоносная программа, запущенная в операционной системе с правами администратора, не может извлекать секреты, защищенные С помощью VBS
Примечание.
Хотя Credential Guard — это мощная мера по устранению рисков, постоянные атаки с угрозами, скорее всего, перейдут на новые методы атак, и вам также следует включить другие стратегии и архитектуры безопасности.
Включение по умолчанию
Начиная с Windows 11, 22H2 и Windows Server 2025, VBS и Credential Guard включены по умолчанию на устройствах, соответствующих требованиям.
По умолчанию включена блокировка UEFI, что позволяет администраторам при необходимости удаленно отключить Credential Guard.
Если credential Guard включен, VBS также включается автоматически.
Примечание.
Если Credential Guard явно отключен до обновления устройства до Windows 11 версии 22H2 / Windows Server 2025 или более поздней, включение по умолчанию не перезаписывает существующие параметры. Это устройство будет по-прежнему отключать Credential Guard даже после обновления до версии Windows, которая включает Credential Guard по умолчанию.
Включение по умолчанию в Windows
На устройствах под управлением Windows 11, 22H2 или более поздних версий Credential Guard включена по умолчанию, если они:
- Соответствие требованиям к лицензии
- Соответствие требованиям к оборудованию и программному обеспечению
- Не настроены явным образом для отключения Credential Guard
Примечание.
Устройства под управлением Windows 11 Pro/Pro Edu 22H2 или более поздней версии могут автоматически включать безопасность на основе виртуализации (VBS) и (или) Credential Guard, если они соответствуют другим требованиям для включения по умолчанию и ранее запускали Credential Guard. Например, если Credential Guard был включен на корпоративном устройстве, которое позже было понижено до Pro.
Чтобы определить, находится ли устройство Pro в этом состоянии, проверка, существует ли следующий раздел реестра: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret
. В этом сценарии, если вы хотите отключить VBS и Credential Guard, следуйте инструкциям, чтобы отключить безопасность на основе виртуализации. Если вы хотите отключить только Credential Guard, не отключая VBS, используйте процедуры для отключения Credential Guard.
Включение по умолчанию в Windows Server
На устройствах под управлением Windows Server 2025 или более поздних версий Credential Guard включена по умолчанию, если они:
- Соответствие требованиям к лицензии
- Соответствие требованиям к оборудованию и программному обеспечению
- Не настроены явным образом для отключения Credential Guard
- Присоединены к домену
- Не является контроллером домена
Важно.
Сведения об известных проблемах, связанных с включением по умолчанию, см. в разделе Credential Guard: известные проблемы.
Системные требования
Для обеспечения защиты Credential Guard устройство должно соответствовать определенным требованиям к оборудованию, встроенному ПО и программному обеспечению.
Устройства, которые превышают минимальные требования к оборудованию и встроенному ПО, получают дополнительную защиту и более защищены от определенных угроз.
Требования к оборудованию и программному обеспечению
Для Credential Guard требуются следующие функции:
- Безопасность на основе виртуализации (VBS)
Примечание.
VBS имеет разные требования к его включению на разных аппаратных платформах. Дополнительные сведения см. в статье Требования к безопасности на основе виртуализации.
- Безопасная загрузка
Хотя и не требуется, для обеспечения дополнительной защиты рекомендуется использовать следующие функции:
- Доверенный платформенный модуль (TPM), так как он обеспечивает привязку к оборудованию. Поддерживаются версии TPM 1.2 и 2.0, либо дискретные, либо встроенные.
- Блокировка UEFI, так как она не позволяет злоумышленникам отключить Credential Guard с изменением раздела реестра
Подробные сведения о защите для повышения безопасности, связанные с параметрами оборудования и встроенного ПО, см. в статье Дополнительные требования к безопасности.
Credential Guard на виртуальных машинах
Credential Guard может защищать секреты на виртуальных машинах Hyper-V так же, как и на физическом компьютере. Если credential Guard включен на виртуальной машине, секреты защищаются от атак внутри виртуальной машины. Credential Guard не обеспечивает защиту от привилегированных системных атак, происходящих с узла.
Требования к запуску Credential Guard на виртуальных машинах Hyper-V:
- Узел Hyper-V должен иметь IOMMU
- Виртуальная машина Hyper-V должна быть поколения 2
Примечание.
Credential Guard не поддерживается на виртуальных машинах Hyper-V или Azure поколения 1. Credential Guard доступен только на виртуальных машинах 2-го поколения.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие Credential Guard:
Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
---|---|---|---|
Нет | Да | Нет | Да |
Права на лицензии Credential Guard предоставляются следующими лицензиями:
Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
---|---|---|---|---|
Нет | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Требования к приложениям
Если Credential Guard включен, некоторые возможности проверки подлинности блокируются. Приложения, которым требуются такие возможности, прерываются. Эти требования называются требованиями к приложениям.
Приложения должны быть протестированы перед развертыванием, чтобы обеспечить совместимость с ограниченными функциональными возможностями.
Warning
Не рекомендуется включать Credential Guard на контроллерах домена. Credential Guard не обеспечивает дополнительную безопасность для контроллеров домена и может вызвать проблемы совместимости приложений на контроллерах домена.
Примечание.
Credential Guard не обеспечивает защиту для базы данных Active Directory или диспетчера учетных записей безопасности (SAM). Учетные данные, защищенные с помощью Kerberos и NTLM при включенном Credential Guard, также находятся в базе данных Active Directory (на контроллерах домена) и SAM (для локальных учетных записей).
Приложения прерываются, если им требуется:
- Поддержка шифрования Kerberos DES
- Неограниченное делегирование Kerberos
- Извлечение TGT Kerberos
- NTLMv1
Приложения запрашивают и подвергают учетные данные риску, если им требуется:
- Дайджест-проверка подлинности
- Делегирование учетных данных
- MS-CHAPv2
- CredSSP
Приложения могут вызвать проблемы с производительностью при попытке подключить изолированный процесс LSAIso.exe
Credential Guard .
Службы или протоколы, использующие Kerberos, такие как общие папки или удаленный рабочий стол, продолжают работать и не затрагиваются Credential Guard.
Дальнейшие действия
- Узнайте , как работает Credential Guard
- Узнайте , как настроить Credential Guard
- Ознакомьтесь с рекомендациями и примером кода для повышения безопасности и надежности среды с помощью Credential Guard в статье Дополнительные меры по устранению рисков .
- Ознакомьтесь с рекомендациями и известными проблемами при использовании Credential Guard